Pagina principal Seguridad SIETE MILLONES de cuentas de Minecraft pirateadas

SIETE MILLONES de cuentas de Minecraft pirateadas

  • Peter Holmes
  • 0
  • 1679
  • 178
Anuncio

Esta es una historia corta de bloqueos, pérdida de confianza, cuentas comprometidas, encubrimientos y uno de los sitios más populares de la comunidad de Minecraft. Las cuentas de más de 7 millones de miembros de Bote salvavidas se vieron comprometidos a principios de año, y los datos se han vendido a los mejores postores en Dark Net.

7 millones de usuarios!

La violación masiva se descubrió en enero Manténgase al día con las últimas filtraciones de datos: siga estos 5 servicios y feeds Manténgase al día con las últimas filtraciones de datos: siga estos 5 servicios y feeds por Troy Hunt, el investigador de seguridad detrás de He sido pwned? sitio de notificación de incumplimiento. Recibió un aviso sobre los datos de alguien activamente involucrado en el comercio de credenciales de inicio de sesión pirateadas, y había recibido otros datos de la persona en el pasado.

“Los datos me los proporcionó alguien involucrado activamente en el comercio que me envió otros datos en el pasado”

Su descubrimiento expuso la falta de seguridad en el lugar en Lifeboat, y la secuencia igualmente desastrosa de eventos que siguieron a la violación.

Nueva violación: en enero, la comunidad de Minecraft "Lifeboat" tenía 7 millones de cuentas expuestas. 6% ya estaban en @haveibeenpwned https://t.co/LGaAniJH32

- ¿He sido pwned? (@haveibeenpwned) 26 de abril de 2016

Lifeboat ejecuta servidores para entornos personalizados de Minecraft Pocket Edition ¿Debería obtener Minecraft Windows 10 Edition? ¿Deberías obtener Minecraft Windows 10 Edition? Si compró Minecraft en el pasado, puede obtener la edición de Windows 10 de forma gratuita. De lo contrario, podría usar una prueba gratuita de 90 minutos. Mientras tanto, mira cómo nos gustó Minecraft en Windows 10.. ¡Permite a los jugadores que usan la versión móvil del extremadamente popular voxel-builder 10 Indie City y Base Builders probar ahora mismo! ¡10 constructores de Indie City y Base para probar ahora mismo! Hay una serie de desarrolladores independientes que trabajan en una gran cantidad de increíbles juegos de estilo de ciudad y de construcción de bases. Echemos un vistazo a algunos de los mejores constructores de bases y ciudades independientes que puedes jugar ... para participar en varios modos multijugador, como Capture the Flag o Survival. Los usuarios del bote salvavidas se conectan a un servidor de la comunidad, registrando su nombre de usuario deseado con una dirección de correo electrónico y contraseña. Cosas bastante estándar.

Sin que los usuarios lo supieran, Lifeboat luego descifró las contraseñas con el algoritmo MD5 ahora infamemente débil, lo que significa que las contraseñas habrían sido fáciles de descifrar utilizando herramientas básicas (y fácilmente disponibles).

Siguiendo la fuga

Cuando una empresa experimenta una violación de datos que involucra los datos personales de sus usuarios, el curso de acción común es informarles Por qué las empresas que guardan un secreto pueden ser algo bueno Por qué las empresas que mantienen un secreto pueden ser algo bueno con tanta información en línea, todos nos preocupamos por posibles infracciones de seguridad. Pero estas infracciones podrían mantenerse en secreto en los EE. UU. Para protegerlo. Suena loco, entonces, ¿qué está pasando? . Desafortunadamente, dejar que los usuarios sepan su dirección de correo electrónico privada y contraseña para su cuenta ha sido adquirida por una entidad potencialmente maliciosa. Parece bastante razonable.

El bote salvavidas descuidó hacer esta tarea aparentemente básica, en cambio decidió que, dado que los datos violados no contenían información financiera, probablemente sería suficiente activar un restablecimiento de contraseña silencioso en todo el sitio. Incluso entonces, la historia de fallas de seguridad continúa, con Lifeboat aconsejando a sus usuarios que creen contraseñas cortas, literalmente lo contrario de la práctica de generación de contraseñas ampliamente aceptada. 7 Errores de contraseña que probablemente lo piratearán 7 Errores de contraseña que probablemente lo piratearán Las peores contraseñas de Se han lanzado 2015, y son bastante preocupantes. Pero muestran que es absolutamente crítico fortalecer sus contraseñas débiles, con solo unos pocos ajustes simples. .

“Por cierto, recomendamos contraseñas cortas pero difíciles de adivinar. Esto no es banca en línea.”

Sin embargo, a pesar de las afirmaciones de Lifeboat de un restablecimiento de contraseña en todo el sitio, muchos usuarios contactados en relación con la violación respondieron negativamente, diciendo que no recibieron ningún correo electrónico de restablecimiento o una notificación al ingresar al juego o conectarse a un servidor de Lifeboat.

“Es malo que hayan sido violados en primer lugar, pero no contarnos sobre eso es aún peor”

Qué salió mal?

La violación de datos del bote salvavidas se lee como una lista de lo que no se debe hacer en caso de emergencia. La violación en sí misma se colocó inmediatamente en el # 7 en el He sido pwned top 10.

Son las fallas sistemáticas las que han atraído tanta atención. No solo se violaron la dirección de correo electrónico y las contraseñas, sino que se alentó activamente a los usuarios a debilitar sus propias posibilidades de garantizar la seguridad de los datos personales mediante una recomendación de contraseña desacertada. Luego, para colmo, Lifeboat había descifrado las contraseñas utilizando un método de cifrado fácilmente rompible.

MD5

Si Lifeboat hubiera elegido el consejo opuesto: usar contraseñas más largas con una combinación de letras, números y símbolos, los datos habrían sido mucho menos atractivos para esos operadores de datos. Considere esto: una contraseña que contiene seis caracteres alfanuméricos está limitada a solo 626 6 (26 minúsculas, 26 mayúsculas, números 0-9). Incluso utilizando herramientas básicas en línea, los investigadores de seguridad o las partes malintencionadas tendrán esa contraseña descifrada en semanas. Herramientas fuera de línea, usando una computadora poderosa, se descifrará segundos.

Para agravar el terrible consejo de la contraseña estaba su pobre servicio de limpieza. El bote salvavidas optó por hashes MD5 sin sal para ocultar las contraseñas de texto sin formato. Si bien ofrece un nivel básico de protección, MD5 se diseñó para ofrecer un cifrado extremadamente rápido y con pocos recursos. ¿Cómo funciona el cifrado y es realmente seguro? ¿Cómo funciona el cifrado y es realmente seguro? . En su origen, estas cualidades hicieron del MD5 una herramienta bastante útil. La mayoría de las computadoras minoristas simplemente no tenían suficiente potencia para descifrar el cifrado.

Sin embargo, los tiempos cambian, y nuestras computadoras hogareñas son muy superiores a las desarrolladas hace solo una década, lo que socava drásticamente la efectividad de todo lo que se ha utilizado con MD5..

Contraseñas sin sal

Y solo para frotar sal en la herida, Lifeboat cometió un error final. Los hash MD5 que protegen las contraseñas no tienen sal Lo que todo este contenido de hash MD5 significa en realidad [Explicación de la tecnología] Lo que todo este contenido de hash MD5 significa realmente [Explicación de la tecnología] Aquí hay un resumen completo de MD5, hashing y una pequeña descripción de las computadoras y la criptografía . . Esto significa que las contraseñas de texto sin formato no se combinaron con un valor único para cada cuenta de usuario, lo que facilitó mucho el proceso de descifrado y coincidencia..

La salazón básicamente garantiza que cada contraseña con hash individual sea completamente única, incluso si contienen caracteres idénticos. Cualquiera que desee ver las contraseñas tendría que descifrar cada hash individualmente.

Seguro para regresar?

El bote salvavidas no ha emitido demasiadas declaraciones sobre la violación. Creo que su postura sigue siendo que, si bien la violación de datos es censurable, ya que no contienen ninguna información personal o financiera adicional, el daño debe ser relativamente limitado. El bote salvavidas también ha confirmado que MD5 ya no se usa en el sitio o en ninguno de sus servidores.

“Cuando esto sucedió [a principios de enero], pensamos que lo mejor para nuestros jugadores era forzar silenciosamente un restablecimiento de contraseña sin dejar que los piratas informáticos supieran que tenían un tiempo limitado para actuar. Hicimos esto durante un período de algunas semanas..”

Incluso si el daño directo es limitado, podría haber otras consecuencias. Las personas generalmente son flojas cuando se trata de contraseñas, y solo usan un puñado para proteger todas sus cuentas en línea.

"Literalmente, todas mis contraseñas, redes sociales, servidores Pe, correo electrónico, etc. eran esta contraseña, ¿tengo que cambiarlas todas?" https://t.co/f2sh4Lz20f

- Troy Hunt (@troyhunt) 28 de abril de 2016

Si bien se aumenta el riesgo de que una sola violación exponga varias cuentas, la lección debe ser clara: si realmente le importa la santidad de sus cuentas, sus datos privados y personales y más, use una contraseña segura y única para cada una. Entonces, cuando se viola un servicio, no se convertirá en una estadística.

Por cierto, usuarios del bote salvavidas: es hora de cambiar toda su contraseñas.

¿Te ha afectado el truco del bote salvavidas? ¿Confiarás en Lifeboat nuevamente? ¿Cómo realiza un seguimiento de sus contraseñas? Háganos saber a continuación!




Nadie ha comentado sobre este artículo todavía.

6 Complementos gratuitos de Microsoft Outlook para mejores correos electrónicos
Productividad
Cómo usar las mayúsculas para mejorar su texto en Microsoft Word
Productividad
Cómo optimizar Google Calendar con configuraciones personalizadas
Productividad
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.